⑴ 网络银行的技术风险一般来自哪些方面
我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。
一、 我国网络银行面临的风险
1.系统风险
(1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《Common Criteria for IT Security Evaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。
(2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。
在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。
(3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。
(4)数据传输风险。数据传输过程中被窃取、修改等风险。
2.操作风险
网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点:
(1)网络银行操作风险意识淡薄。
(2)组织机构职责不清。
(3)内控制度不健全或执行不力。
(4)没有适合的网络银行稽核审计部门。
3.信用风险
网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。
4.信息不对称风险
信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。
⑵ 网上银行存在哪些风险
我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。
一、 我国网络银行面临的风险
1.系统风险
(1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《Common Criteria for IT Security Evaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。
(2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。
在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。
(3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。
(4)数据传输风险。数据传输过程中被窃取、修改等风险。
2.操作风险
网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点:
(1)网络银行操作风险意识淡薄。
(2)组织机构职责不清。
(3)内控制度不健全或执行不力。
(4)没有适合的网络银行稽核审计部门。
3.信用风险
网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。
4.信息不对称风险
信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。
5.法律风险
我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。
二、 我国网络银行风险防范对策
1.系统风险的防范
(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。
(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。
(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。
对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。
(4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施——PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。
加强应用系统开发过程的审计,应用系统运行过程中的实时审计。
(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。
(6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING 信息包,通过设置ACCESS LIST 的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。
2.操作风险的防范
操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。
建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。
来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。
3.信用风险的防范
建立全国性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。
4.信息不对称风险的防范
建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。
5.法律风险的防范
应充分利用和执行《网络银行业务管理暂行办法》,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。
建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。
⑶ 怎样提高银行网络安全管理能力
通常,计算机网络信息系统安全包括实体安全、信息安全、运行安全和人员安全。对于银行网络而言,在其安全体系架构过程中,由于银行业务、管理体制的不断变化,加上攻击手段层出不穷,使得对于网络系统安全风险点的分析存在不确定性。如果对局域网的管理不到位,掉线、网络堵塞、无法快速上网、受攻击等问题将屡屡出现,将对网络整体安全构成巨大隐患,进一步加强网络管理十分必要。 随着银行电子化建设的不断深入,内联网建设已成为银行信息化工程的重要组成部分,计算机网络系统的安全问题将直接关系到银行的业务发展和社会形象。 安全规划和整体策略框架的确定比较困难,因此应遵循需求、风险、代价平衡的原则。对于任何信息系统来说,不可能达到绝对安全,因此我们必须对系统面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范并确定安全策略,使被保护信息的价值与保护成本达到平衡。 应该建立具有一个多重保护功能的安全系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保护信息的安全。网络的安全性问题实际上包括两方面的内容,一是网络的系统安全,二是网络的信息安全,而保护网络的信息安全是最终目的。就网络信息安全而言,首先是信息的保密性,其次是信息的完整性。 一、提高硬件建设水平1.遵循建设标准。在银行网络建设初期,或者在网络机房的改造过程中,要按照国家统一颁布的标准进行建设、施工、装修、安装,并经公安、消防等部门检验验收合格后投入使用。做好三级备份网络的建设,对网络的信号传输进行屏蔽(静电屏蔽、磁屏蔽和电磁屏蔽)处理,装置必要的电磁屏蔽设施。 2.合理布线。布线也是一个重要的问题,不良的布线会引起日后频繁的网络故障,会给网络管理工作带来很大的麻烦。尤其是千兆交换机的光纤模块,如果光纤安装存在问题,会造成交换机工作不稳定,数据传输会时断时续,这将严重影响网络的整体性能。定期与电力、电信等部门协调,争取技术支持,是保证良好的供电环境和畅通的网络环境的重要措施。 3.增加网络机架。通过增加机架,可以将各部门的服务器集中到网络管理中心,进行统一管理。几十台服务器所占空间可能太多,可以在网络中心的机房里,增加机架,把这些服务器一个个固定在机架上,这样可以减少服务器占用地面空间。 4.如果条件允许设置二级网络机房,还可以考虑进行摄像监控。在二级交换机的分机房中安装摄像机,通过摄像机连线,将分机房的现场情况传到网络中心机房的监视器,通过监视器上传来的视频信息,就可以知道分机房的网络设备运转情况。如果出现问题,在中心机房就能及时告警,便于网管员迅速采取措施,从而提高管理效率。 5.在交换机中添加硬件管理模块。新一代交换机具有多种提高管理的硬件模块,除了硬件入侵监视模块能方便管理外,还有以太网随线供电模块、超级引擎模块等功能。形成以入侵检测系统为核心,联合防火墙、非法外联、安全认证、网管系统、灾难备份等安全产品的防御体系,以提高网络安全系数,因此,增加硬件管理模块十分必要。 6.及时升级网络管理与安全软件。网络规模的逐渐扩大,网络的复杂性不断增加,一些老的网络管理技术、网络防病毒管理系统已不能适应网络的迅速发展。因此,网管软件、防病毒软件需要及时升级,以便能利用先进的网络管理技术和带宽等有限的网络资源。 二、提高管理人员水平现在,一些基层单位在局域网建设中存在重建轻管现象,不同程度地存在着对信息安全的防范意识不强、管理硬件不到位、网络疏于管理等问题,这些将直接影响人行局域网的正确使用的现象应当引起高度重视。 1.建立领导组织体系。要将计算机网络管理及风险防范纳入行长的工作日程,就必须成立相应的领导组织,明确权利责任,做好对网络安全运行领导、检查和监督工作。要研究网络安全防范技术,找出易发问题的部位和环节,进行重点管理和监督,各相关职能部门要形成合力加大对计算机网络风险管理力度。 2.落实内控制度。建立健全各项计算机网络安全管理和防范制度,完善业务的操作规程;加强网络要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,做到专机专用、专人专管、各负其责。 3.强化日常操作管理。加强网管操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现权限等级管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会,防止非法使用网络系统资源。严禁在网络上放置和发布与业务系统无关信息,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏网络系统或业务数据。做好数据备份,确保数据安全。
⑷ 网络金融风险的控制网络金融风险的对策建议
我国的网络银行必须有足够强的安全措施,否则将会影响到金融业的可持续发展。网络安全保障是一个综合集成的系统,它的规划、管理要求国家有关部门和金融机构、IT界通力合作,进行科学的、强有力的干预和导向,同时还应开展国际合作,共同打击网络金融犯罪。
(一)加快电子商务和网络银行的立法进程。一般来说,网络系统安全问题和网络金融立法的滞后与模糊是造成法律风险的原因之一。针对目前网络金融活动中出现的问题,加快法制建设步伐,尽快出台有关网上交易和网上银行的法律法规,降低银行的法律风险,规范网络金融参与者的行为。电子商务立法首先要解决电子交易的合法性、如怎样取用交易的电子证据,法律是否认可这样的证据,以及电子货币、电子银行的行为规范,跨国银行的法律问题。其次,对电子商务的安全保密也必须有法律保障,对计算机犯罪、计算机泄密、窃取商业和金融机密等也都要有相应的法律制裁,以逐步形成有法律许可、法律保障和法律约束的电子商务环境。再次,充分运用政策手段,鼓励网上银行按健康的发展方向开展业务。最后,提升整个社会的信用水平,建立和完善我国的信用制度。
(二)银监会应提高对网络银行的监管水平。由银监会牵头,其他银行参加,统一制定一套关于网上银行业务结算、电子设备使用等的规范标准,以便实现与国际金融业的接轨;要建立一套完整的网上银行业务审批和监管机制,结合我国国情,借鉴国外发展经验,成立专门机构对网上银行的设立、管理、具体业务功能的实现及硬件和软件系统的应用等进行研究,为网上银行的发展提供技术服务、支持和指导,并利用网络等先进计算机技术进行非现场监管;针对网络银行的安全问题,选择安全标准,建立安全认证体系;针对黑客程序和病毒分别着手建立一套行之有效的程序免疫体系;建立金融信息管理分析系统和金融科技风险监测、预警体系;制定有关数字化电子货币的发行、支付与管理的规章制度。
(三)大力发展先进的、具有自主知识产权的信息技术,建立网络安全防护体系。网络金融的安全,最终是通过网络技术的应用来实现和支撑的,其关键技术有防火墙技术、数据加密技术和智能卡技术等,主要是通过采取物理安全策略、访问控制策略、构筑防火墙、安全接口、数字签名等高新网络技术来实现。从硬件方面来说,目前我国在金融电子化业务中使用的计算机、路由器等软、硬件系统大部分由国外引进,而且信息技术相对落后;从软件方面来说,我国目前的加密技术、密钥管理技术及数字签名技术都落后于网络金融发展的要求,增大了我国网络金融发展的安全风险和技术选择风险。因此,迅速缩小在硬件设备方面与发达国家之间的差距,并开发拥有自主知识产权的信息技术,是防范减少安全风险和技术选择风险,提高网络安全性能的根本性措施。
(四)建立大型共享型网络银行数据库。要保障网络银行的资产安全,必须要解决信息不对称以及信息透明度的问题。依靠数据库技术储存、管理和分析处理数据,这是现代化管理必须要完成的基础性工作。网络银行数据库的设计应该采用社会化大协作的思路,以客户为中心进行资产、负债和中间业务的科学管理,不同银行可实行借款人信用信息共享制度,建立不良借款入的预警名单和“黑名单”制度。对有一定比例的资产控制关系、业务控制关系、人事关联关系的企业或企业集团,通过数据库进行归类整理、分析、统计,统一授信的监控。
(五)建立网络金融统一的技术标准。目前我国金融系统电子化建设存在规划不统一、商业银行技术标准不统一、技术规范不统一、商业银行之间使用的安全协议各不相同的问题。应制定金融业统一的技术标准。中国金融认证中心的成立为此奠定了基础。确立统一的发展规划和技术标准,才有利于统一监管,增强网络金融系统内的协调性,减少支付结算风险,并有利于其它风险的监测。我们要尽快熟悉和掌握国际上有关计算机网络安全的标准和规范,如掌握和应用国际ISO对银行业务交易系统的安全体系结构等,制定一套较为完整的国际标准,以便我国网络银行在风险防范上与国际接轨。
(六)加强对金融创新的研究、开发和利用。我国对金融创新的研究,特别是其应用目前还处于比较低的水平,许多金融衍生工具尚没有得到利用,学术界和实务界应联合攻关,不断创造、设计、开发出各种新的组合金融工具,使我国金融衍生工具创新和风险控制能得以加强,以期在一定风险度内获得最佳收益。
⑸ 金融行业如何防范安全风险
这些变化引发了金融行业的两大战略转变:从以账户为中心向以客户、服务、管理为中心进行转变;从单一的经营模式向全球网络化、多元化的混业经营模式转变。这些变革,将给金融信息化带来新的机会和挑战。 首先,银行将全面部署与整合新一代综合业务系统。 银行业未来经营格局将是面向多市场、跨平台、多交易品种,因此新型的综合业务系统将成为金融业的必然选择。数据大集中已经基本完成,接下来必将是应用系统的整合。而新型的综合业务系统将是整合应用系统的核心引擎。新型的综合业务系统将具备以下几个特点:一、安全、稳定、可靠;二、灵活、多变、多功能,要快速支持金融行业快速的产品创新和差异化服务;三、以客户为中心。 其次,更加强调数据的合理与有效利用 现在很多商业银行已经实现数据的物理或逻辑集中,在数据大集中的基础上进一步有效利用数据将成为银行下一步信息化建设的重点。如使用数据仓库、数据挖掘、商业智能、决策支持等技术,基于基础客户信息数据,通过信息挖掘、提炼,对银行的业务流程、产品等进行改进,从而为银行提供全方位的管理视角,全面提高和改善银行经营质量和服务水平。目前国内已经有多家银行尝试应用CRM系统,用于理财、贷款、信用卡、中间业务等服务。 通过数据仓库、商业智能等工具把原始信息变成有价值的信息。基于数据仓库的决策支持系统(DSS)能够帮助银行实现对客户的正确识别和经营风险的自动预警。通过数据挖掘技术,能够有效地控制关联企业的信贷风险,建立以客户管理为中心的信贷决策体系和成本控制体系,保证商业银行信贷资金的有效配置和信用风险的有效控制,从而体现商业智能和自动化处理的价值。 第三,更加注重数据安全与业务连续性风险 随着信息技术在银行普遍、深入的应用,信息系统的正常运行已经成为银行业务正常运营最基本的条件之一。意外灾祸、系统故障、人为操作不当、安全管理及措施的漏洞等都有可能造成信息系统不能正常工作,影响到银行业务的正常运营。信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。 第四, 银行间数据将互联互通 各个商业银行间数据的互联互通不仅是客户的基本需求,也是国家经济发展的需求,同时也有利于银行间数据的共享、扩展各自业务的覆盖范围。着眼于此,数据标准化、集成化将是一段时期内需要重点关注与发展的领域。 第五, 前台业务处理系统与后台支持系统进行数据整合 完善的前台业务处理系统与强大的后台支持管理系统是商业银行的两大基础系统,系统间的数据整合将是发展的必然趋势。完善的前台处理系统是银行运作、经营的基本系统,强大的财务、人力资源管理、利润分析、风险控制、绩效评估和战略决策等支持系统是银行正常运作和良性发展的支撑。通过一定的方式和手段,对两大基础系统间的数据进行整合有利于业务经营与发展目标的实现。 对安全提出新挑战 金融行业的这些变革趋势,对安全提出了更多新的挑战。 首先,银行业风险管控的要求本身就很高。新巴塞尔协议对银行的风险管控提出了新的要求,新协议由三大支柱组成:一是最低资本要求;二是监管当局对资本充足率的监督检查要求;三是信息披露要求。在银行信息化过程中,银行必须将自身的业务、技术需求与新协议中的要求结合起来,做到风险与收益、控制与效能的平衡。 其次,对数据的保密性、完整性、有效性提出更高的要求。银行数据的大集中,对数据的保密性、完整性、有效性提出了更高的要求。数据集中的同时也伴随着风险的集中,如何准确地在效率与安全之间选择平衡点将是一个需要解决的问题。 第三, 个人数据的隐私保护成为一个关注点。支付卡行业数据安全标准委员会已经制定和发布了支付卡行业数据安全标准(PCI-DSS),对涉及支付卡的数据安全提出明确要求,作为该类数据的收集、存储和使用机构,银行需要在信息化中遵守相关的标准,以对个人数据的隐私性加以保护。 第四, 银行业务的可靠性和可持续性成为银行信息化中的重要目标。由于银行经营活动的特征,决定了银行业务与数据必须具有高可靠性和高可持续性的特征,而这些特征在银行业信息化中将得到具体体现,如对系统、数据的高可靠性指标的要求,业务持续性管理的要求等。 实施六大措施对风险进行管理 如何应对这些挑战,是金融行业在变革中需要面对的难题。建议可通过实施以下六种风险管控措施,多管齐下地防范金融风险。 首先,进行业务流程的改进,通过梳理和优化业务流程, 有效提高业务系统的效率、效果,有效控制风险发生的可能性。 其次,进行资产负债管理(ALM),有效控制并预防流动性风险,降低因资产负债不匹配而导致的额外成本,并为经营决策提供支持,增强银行盈利能力。 第三,应用系统风险评估与控制咨询,实施业务系统风险与控制的评估、设计、审计服务,可以有效降低业务流程风险,避免人为控制出现的偏差与失误。 第四,对信息安全与业务持续性进行有效管理,由于综合业务系统的特殊性,需要对大量受保护的业务、经营数据和个人隐私数据进行风险评估,进而实现其保密性、完整性和有效性。为保持银行业务的连续性,需实施业务持续性管理,其中包括业务影响性分析、风险评估、确定业务持续性战略、制定业务持续性计划、实施业务持续性管理、测试与审计持续性服务等。 第五,实施企业信息管理服务(EIM),通过合理设计、适当选择数据管理的方式,让银行优化业务系统平台。并通过使用数据分析与挖掘技术,实施高质量的数据管理。 第六,进行商业欺诈、反舞弊调查,可通过财务调查,发现、识别、评估并处理商业欺诈、舞弊行为,防止和挽回损失。 为了在中国市场继续保持高速增长,赛门铁克公司最近对渠道体系进行了重大改革,并加强了对渠道商的合作。
⑹ 网上银行的安全问题
网络信息技术的发展和电子商务的普及,对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时,也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道,客户可以不必亲身去银行办理业务,只要能够上网,无论在家里、办公室,还是在旅途中,都能够每天24小时安全便捷地管理自己的资产,或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物,人们却有一个最大的疑惑:“网上银行”安全吗? 人们有这种顾虑不无道理。银行业务网络与互联网的连接,使得网上银行容易成为非法入侵和恶意攻击的对象,加上目前网络秩序较混乱,黑客攻击事件层出不穷,也给人们的心理造成了一定影响。
一般来说,人们担心的网上银行安全问题主要是:
1. 银行交易系统被非法入侵。
2. 信息通过网络传输时被窃取或篡改。
3. 交易双方的身份识别;账户被他人盗用。
从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。
银行交易系统的安全性
“网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:
1. 设立防火墙,隔离相关网络。
一般采用多重防火墙方案。其作用为:
(1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。
(2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
2. 高安全级的Web应用服务器
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
3. 24小时实时安全监控
例如采用ISS网络动态监控产品,进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。
身份识别和CA认证�
网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。 由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
网络通讯的安全性
由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。目前,建设银行等已经采用有效密钥长度128位的高强度加密。
客户的安全意识�
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失。
总 结
据有关资料显示,现在美国有1500多万户家庭使用“网上银行”服务,“网上银行”业务量占银行总业务量的10%,到2005年,这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%,就此点讲我国网上银行业务的发展前景极为广阔,我们有理由相信,随着国民金融意识的增强,国家规范网上行为的法律法规的出台,将会有更好的网上银行使用环境,能为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得用户的青睐。
自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时,约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003
年,东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说,到2004年底,我国网络银行个人客户已达到1758万户,企业用户已达60万户,网络银行交易量达到了49万亿元。
但是,正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时,因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑,不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识?问题是出在银行,还是在消费者自身缺乏防范意识?安全问题确实已成为网络银行发展过程中的一个聚焦。
形形色色的网银安全问题
网络银行,又称网上银行或在线银行,是指银行以自己的计算机系统为主体,以单位和个人的计算机为入网操作终端,借助互联网技术,通过网络向客户提供银行服务的虚拟银行柜台。简单地说,网络银行就是互联网上的虚拟银行柜台,它把传统银行的业务“搬到”网上,在网络上实现银行的业务操作。
在西方发达国家,网络银行业务一般分为三类,即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务,前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等;后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。
网络银行的特点是客户只要拥有帐号和密码,便能在世界各地通过互联网,进入网络银行处理交易。与传统银行业务相比,网络银行的优势体现在,不仅能够大大降低银行的经营成本,还有利于扩大客户群,交叉销售产品,吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源,节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点,打破了传统业务受地域和时间的限制,能在任何时候、任何地方为客户提供金融服务;并且在整合各类交叉销售产品信息的基础上,实现金融创新,为客户提供更具个性化的服务。
网络银行发展的模式有两种,一是完全依赖于互联网的无形的电子银行,也叫“虚拟银行”;另一种是在现有的传统银行的基础上,利用互联网开展传统的银行业务交易服务。因此,事实上,我国还没有出现真正意义上的网络银行,也就是“虚拟银行”,国内现在的网络银行基本都属于第二种模式。
对于银行来讲,历来是“信用第一”。网络银行既然是互联网的产物,互联网所带来的一切安全隐患,自然会波及网络银行,影响其信用。因此,网络银行的安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。
假冒银行网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接,收到此类邮件的用户一旦点击这个链接,紧接着页面会提示用户继续输入自己的帐户信息;如果用户填写了此类信息,这些信息将最终落入诈骗者手中。而网上交易陷阱则是,一些不知名的购物网站通常会打出超低价商品等信息,待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题,各家银行的反映如何?它们都采取了哪些相应的措施?
银行篇:该出手时就出手
8月份,国内14家商业银行与中国金融认证中心(CFCA)联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动,为广大消费者提供了一次了解网上银行和信息安全知识的机会。
在这14家银行中,中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段,工行建立了一整套严密的网上银行技术与制度体系,确保了网上银行安全的运行。
中国工商银行电子银行部副处长尚阳向记者介绍说,利用网上银行进行欺诈行为,骗取客户资金,目前主要有四种类型:一是不法分子通过电子邮件冒充知名公司,特别是冒充银行,以系统升级等名义诱骗不知情的用户点击进入假网站,并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天,以网友的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯,有可能通过这些程序、邮件等将木马病毒置入客户的计算机内,一旦客户利用这种“中毒”的计算机登录网上银行,客户的账号和密码就有可能被不法分子窃取。
例如,人们在网吧等公共电脑上网时,网吧电脑内有可能预先埋伏木马程序,账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理,通过试探等方式可能猜测出密码。所以,为了保证信息和资金的安全,我们不仅需要具备辨识网络诈骗的能力,更需要养成良好的网上银行使用习惯。当然,如果用户申请了客户证书,就可以有效防范目前常见的各种网络犯罪,确保用户资金安全无忧。
工商银行网上银行系统的安全保障是多层的,包括网上银行技术安全和业务安全,二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上,网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠,交易安全确保客户通过网上银行进行交易的资金安全。其中,网络安全涉及系统安全、网络运行安全等。
系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析;网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性,采取了一系列措施,包括:在互联网与网上银行服务器之间设置第一道防火墙, 在门户网站服务器和工行内部网络(应用服务器)之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品,设置不同的安全策略,使黑客即使攻破第一道防火墙,也无法轻易攻破第二道防火墙而进入内部网络,等等。
在确保网络安全的同时,工行网上银行还采取了一系列确保网上交易安全的措施,包括采用中国金融认证中心(CFCA)提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同,工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行,首先要验证客户的账号(或自己设立的登录ID)和登录密码,对外支付还必须验证支付密码。
此外,通过增加密码难度(必须是6—30位数字与字母的组合)、设置虚拟“e”卡(专门用于网上购物)和每日支付最高限额等一系列方式,最大限度地保证客户安全使用网上银行。对于申请了证书的客户,工行USBKey客户证书是一个外形类似U盘的智能芯片,是网上银行的“身份证”和“安全钥匙”,也是目前安全级别最高的一种安全措施。客户申请了这个证书后,网上所有涉及资金对外转移的操作,都必须通过这个客户证书才能完成,而此证书,仅客户自己保管和使用。换句话说,账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施,只要其中一样没有丢失或泄露,或即使丢失,只要密码和证书没有被同一个人获得,就不存在资金安全问题。
除了技术安全外,工行在业务安全层面上,制定了健全的内部柜员操作管理机制。整个网上银行的内部管理系统,都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度,逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性操作时,还需要上一级柜员的实时审核,防止单人作案。
那么,用户应该如何安全使用网上银行?尚阳副处长说,对于有了客户证书的客户来说,只要密码和证书没有被同一个人获得,就能确保客户资金的安全。而没有申请客户证书的客户,只要保管好自己的账号和密码以及支付密码,就是非常安全的。总而言之,有几点需要提醒人们:1.要妥善保管好自己的账号和密码。2.谨防假网站索要账号、密码、支付密码等客户敏感信息。3.维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所(如网吧、公共图书馆等)使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书,就可以有效防范诸如假网站、“木马”病毒等网络诈骗;换句话说,即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息,但有了证书,照样可以安心使用网上银行。
华夏银行也是在2000年开始着手网络银行业务的。自2001年5月17日发生第一笔网上银行交易,截至2005年6月,网上银行的企业客户数接近1.2万个,个人注册客户数接近21万个;累计交易金额超过7500亿元,交易笔数超过44万笔。
据华夏银行网络银行部网银业务室副经理高静文介绍说,国家计算机网络应急技术处理协调中心(CNCERT/CC)的报告显示,2004年上半年,我国的主机被用于进行各类网络欺诈的事件有20起左右,同年7月至10月已经超过了110起。随着网上银行应用的普及,这样的欺诈事件会越来越多,犯罪分子利用的技术手段也越来越先进。他们窃取银行客户账号和密码,给用户的资金安全造成了严重的威胁。
为此,华夏银行在技术策略、管理策略和业务策略等方面形成了一套完善的综合安全管理体系,在银行端和客户端采取了多重技术和业务安全保障措施。
他们的技术措施包括:架构设计采用统一出入口的集中模式。网上银行的所有业务操作均通过华夏银行总行的门户网站登录进行,集中化的管理有利于集中优势人力、物力和技术,确保交易的安全性,降低了假网站出现的概率。在公共网络和银行网站之间,网站和交易服务器之间,交易服务器和银行内部网之间采用了三重不同规格型号的防火墙,隔离了相关网络;其作用是通过这三道防火墙可分别防止非法访问网站,防止网站访问者对网银的非法入侵,以及有效保护银行内部网,同时防止内部网对网银交易服务器的入侵。与工行一样,华夏银行采用的也是128位SSL数据加密协议和CFCA颁发的数字证书。数字加密协议在用户和网银服务器之间建立了秘密而可靠的连接,确保信息传输的完整性和安全性。数字证书则保障了交易的完整性、机密性和不可否认性。
华夏银行的业务安全措施是:证书采用IC卡或U盘存放,便于私密保管,且难以伪造;证书认证密码和系统登录密码双重保护;网上转帐须经记帐与授权多重确认;客户密码3个月未更换,系统自动提醒客户修改密码;密码连续错误多次,系统自动锁定,不允许登录防止恶意试探密码;企业可根据自身实际情况设定多种授权组合;客户的每一次点击操作,机房都能实时监控;完整的日志记载可为事后审计提供依据。
在安全管理上,华夏银行的网上银行专门建立了应急预案;成立专门的安全处提供技术保障;系统运行部门配备专门人员,并对系统进行实时监控和处理。
高静文副经理说,网上银行欺骗是国际性难题,即使在国外,也没有完全有效的技术手段,这是一个需要各方面共同努力的问题。从用户来说,要培养安全意识,严格按照银行提示操作,如果接到来历不明的短信或邮件时应有防范意识。从银行来说,除了采取足够的安全措施和内部控制手段外,还要利用各种渠道向用户讲解网银安全的知识,提醒用户注意事项。而司法部门则需对网上银行的欺诈行为做出严格的法律界定。
企业篇:技术不是问题 防范最重要
各银行在网上银行的安全防范措施上,可谓使出浑身解数。如果说,银行是以“信用为己任”,那么厂商就是以“保护信用为己任”。对于网上银行的安全问题,方正信息安全技术有限公司总裁施文洪认为,网络银行好比航空公司,具有高风险且安全性也高的特点。对于网上银行的安全,大的安全厂商主要解决的是网络级的安全问题,从银行的交易平台、专线、内网到公网这条线路上来确保网络的安全。在网络层面上,防火墙、防病毒软件、IDS产品等是网上交易平台外围安全的保障。网上银行与用户之间的安全保障则需要数字证书、USBKEY等。网上银行是一个高端的业务,方正将通过与高端的集成商合作,推出不仅具有高技术含量的产品,更具有实用性的产品,让消费者从心理上有安全感和可信感。
方正安全在信息安全领域,覆盖了防火墙、防病毒、内容安全网关、入侵检测和虚拟专用网等五大产品线四十多款产品,最新的熊猫入侵防护TRUPREVENT企业版,是一款集已知和未知威胁防护于一身的入侵防护软件,能最大程度地抵御病毒、木马、蠕虫等网络威胁。这款基于识别行为技术的智能化的产品,是方正迈向未来智能化的网络安全产品走出的第一步。施总说,技术从来不是问题,问题在于技术如何在最恰当的时候以最恰当的方式转化为产品切入市场。未来的网络银行应该基于IP网,基于IP网的安全产品实现移动、无线、便携后,才能真正实现网络的安全性和可靠性。
记者又采访了以“电子支付专家”为发展定位的网银在线(北京)科技有限公司,这是一家为从事电子商务的企业和个人提供电子支付解决方案的企业。作为中立的第三方支付平台,网银在线提供的是在线支付网关和个人虚拟帐户(类似C TO C 支付帐户),主要解决电子商务中资金流的问题。它在银行和商户之间搭起了一座桥梁,一方与银行链接,另一方利用数字证书为商户提供支付平台。因此,网银在线无论是为商户提供交易平台,还是为银行提供结算平台,都和安全问题密切相关。
网银在线执行总裁、做技术出身的赵国栋说,网上银行出现的安全问题在很多情况下不是技术本身的原因造成的,更多是人们自身防范意识不够和管理上的问题。作为第三方支付平台,网银在线在安全保障上是严密而慎重的。它们的安全措施包括:与天威诚信合作推出了符合〈〈中华人民共和国电子签名法〉〉的网上支付网关。
由天威诚信提供的数字证书加密后的交易数据,可以有效预防黑客的窜改和窃取,最大限度地保障了商户交易数据的安全,保证了交易数据的完整性、不可抵赖性,防止支付网关自身修改交易数据。其次,采用了国际机构VERISIGN的128位SSL加密传输机制,将交易信息通过高强度的加密后进行传输,进一步防止黑客窃取信息。第三,与VISA合作推出符合3D安全规范的国际信用卡支付平台。VISA验证服务以安全易用为原则,采用全球互通付款的“3D技术”,是VISA国际组织为提高信用卡网上支付的安全性,保障用户网上支付安全,维护用户利益而推出的一项安全验证服务。有了VISA验证服务,网上交易就有了双重保险。
在服务器的安全上,网银在线采用硬件防火墙与软件防火墙结合的方式屏蔽大部分的病毒和攻击。在银行端方面,它们采用的是SSL128位加密算法和SET(安全电子交易)协议,保证了B2C在线支付的安全实施。在支付平台与银行之间的结算方面,网银在线采用了二次结算的模式,成为支付过程中公正的第三方。在交易过程中,交易双方的信息传递到支付平台并留有存证,交易双方都可以方便地查询订单及相关信息,特别是在出现交易纠纷的时候,有关信息可作为仲裁的有力证据。看来,不论从银行角度出发,还是从厂商角度出发,一致认为以PKI技术为基础的数字证书是一种更可靠的安全防护措施。
⑺ 网络银行的信用风险如何控制
我国网络银行面临的风险与对策 论文
[摘 要] 文章从技术上、操作上、社会环境等方面阐述了网络银行的风险及其相应的防范措施。
[关键词] 网络银行;风险;防范
我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。
一、 我国网络银行面临的风险
1.系统风险
(1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《Common Criteria for IT Security Evaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。
(2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。
在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。
(3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。
(4)数据传输风险。数据传输过程中被窃取、修改等风险。
2.操作风险
网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点:
(1)网络银行操作风险意识淡薄。
(2)组织机构职责不清。
(3)内控制度不健全或执行不力。
(4)没有适合的网络银行稽核审计部门。
3.信用风险
网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。
4.信息不对称风险
信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。
5.法律风险
我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。
二、 我国网络银行风险防范对策
1.系统风险的防范
(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。
(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。
(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。
对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。
(4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施——PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。
加强应用系统开发过程的审计,应用系统运行过程中的实时审计。
(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。
(6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING 信息包,通过设置ACCESS LIST 的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。
2.操作风险的防范
操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。
建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。
来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。
3.信用风险的防范
建立全国性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。
4.信息不对称风险的防范
建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。
5.法律风险的防范
应充分利用和执行《网络银行业务管理暂行办法》,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。
建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。
⑻ 银行的主要业务面临哪些风险
我国商业银行主要面临以下几种风险:
(1)信用风险:即交易对象无力履约的风险;
(2)市场风险:是由于市场价格的变动,银行的表内和表外头寸所面临遭受损失的风险;
(3)利率风险:指银行的财务状况在利率出现不利的波动时所面对的风险;
(4)流动性风险:指银行无力为负债的减少或资产的增加提供融资,即当银行流动性不足时,它无法以合理的成本迅速增加负债或变现资产获得足够的资金,从而影响了其盈利水平的情况;
(5)操作风险:主要在于内部控制及公司治理机制的失效;
(6)法律风险:包括因不完善、不正确的法律意见、文件而造成同预计情况相比资产价值下降或负债加大的风险;
(7)声誉风险:该风险产生于操作上的失误、违反有关法规和其他问题。
以下对上述风险进行简要分析:
一,信用风险
这是商业银行的主要风险,指获得银行信用支持的债务人不能遵照合约按时足额偿还本金和利息的可能性.在商业银行业务多样化的今天,不仅涉及传统的信用风险仍然是商业银行的一项主要风险,而且,贴现,透支,信用证,同业拆放,证券包销等业务中涉及的信用风险也是商业银行面临的重要风险.信用风险主要有以下几类: 本金风险.是指银行对某一客户的追索权不能得到落实的可能性.如呆帐贷款,最终将表现为本金风险. 潜在替代风险.即由于市场价格波动,交易对手自交易日至交收日期间违约而导致损失的风险,其大小根据市场走势向原先预计的相反方向发展时可能造成的最大损失来计算.对银行而言,可能是交易对手违约,而市场又向不利方向发展的情况下,被迫代替交易对手完成原有交易所付出的代价. 第三者保证风险.如果债务人违约不能偿还债务,而担保方或承诺方又不能代债务人偿还债务,就出现了第三者担保风险. 证券交易和包销风险.指的是证券二级市场交易和一级市场交易中的风险. 交收风险.指的是资金或证券交与收的过程中,通知时间和实际时间之差可能产生的风险.一旦有关交收无法执行或交手处理错误,该风险将转化为本金风险. 信贷集中风险.是指银行的贷款只发放给少数客户,或者给某一个客户的贷款超过其贷款总额的一定比例,从而使所发放的贷款遭受损失的可能性大大上升.
二,利率风险
指货币市场,资本市场利率的波动通过存款,贷款,拆借等业务影响商业银行负债成本和资产收益等经济损失的可能性.
三,流动性风险
是指银行本身掌握的流动资产不能满足即时支付到期负债的需要,从而使银行丧失清偿能力和造成损失的可能性.流动性风险,一方面是一种本原性风险,就是由于流动性不足造成;另一方面,也是最常见的情况,是其它各类风险长期隐藏,积聚,最后以流动性风险的形式爆发出来.从这种意义上讲,流动性风险是一种派生性风险,即流动性不足,可能是由于利率风险,信用风险,经营风险,管理风险,法律风险,国家风险,汇率风险等风险源所造成的,银行最终陷入流动性风险中不能自拔.
四,汇率风险
是指本币或外币汇率升值或贬值,使商业银行的资产在持有或者运用过程中蒙受损失的可能性.
五,市场风险
是指商业银行投资或者买卖动产,不动产时,由于市场价值的波动而蒙受损失的可能性.主要取决于商品市场,货币市场,资本市场,不动产市场,期货市场,期权市场等多种市场行情的变动.
六,法律风险
是指因为对法律条文的歧义,变迁,误解,执行不力,规定不细致等原因导致无法执行双边合约,造成银行面临损失的可能性。
七,经营风险
是指商业银行在日常经营中,发生各种自然灾害,意外事故,程序或控制失控,工作人员失误及欺诈,使银行面临的风险.
八,管理风险
是指股东,董事或者高级管理人员不称职,或者不诚实,使银行面临损失的可能性.
九,国家风险
即国家信用风险,是指借款国经济,政治,社会环境的潜在变化,使该国不能按照合约偿还债务本息,给贷款银行造成损失的可能性.
十,竞争风险
就是金融业同业竞争造成银行客户流失,质量下降,银行盈利减少,从而增大银行风险,威胁银行安全的可能性.
1.面临管理体制的挑战。国外银行大多是按照国际惯例进行经营管理的,基本上不受政府干预。而我国金融业由于对外开放程度低,大部分银行还不熟悉国际惯例,不适应在统一规则下进行管理的要求。尤其是我国的银行业则正处于市场经济体制改革的过程之中,还没有完全按照市场机制、竞争规则和效率原则进行管理,一些银行目前还不是真正意义上的金融企业。国家虽要求国内的银行依据市场规则而不是按国家计划去贷款,但在一定程度上仍承担着政府宏观调控的政策性职能,扮演着政府出纳的角色。不仅银行被迫进行所谓的政策性贷款的现象时有发生,而且在机构管理、业务经营、用工管理及分配方式等方面都还要执行上级行的统一要求。尤其是当国家财政困难时,银行在很大程度上仍替代财政并长期承担国家和地方的大量双重政策性业务。据了解,目前,国有商业银行的政策性贷款仍占25%以上,而政策性贷款历来是银行贷款中质量最低的,也是不良资产贷款比例中最高的。管理上的差距将是制约我国银行业发展的重大隐患。
2.面临经营模式的挑战。我国金融业目前推行的是严格的分业经营、分业管理的制度。按照商业银行法,国内的商业银行不允许开展投资业务,这在某种程度上制约了银行业的进一步发展。而国外银行大多采取混业经营的管理方式,即集商业银行、投资银行以及证券、保险于一身。在这种情况下,一旦当综合化的国外金融机构进入我国市场,我国的银行业在竞争中无疑将处于劣势状态。
3.面临业务创新和优质服务的挑战,加入WTO,我国将在金融业务创新和优质服务方面处于劣势,而国外一些大银行在这方面的发展已很成熟。我国银行目前仍主要采用传统的业务经营方式,并且发展业务的着眼点主要集中于存款市场份额上。这样不仅容易导致我国银行业经营传统人民币业务的风险上升,平均利润率下降,而且容易造成涉外业务、中间业务和新的贷款业务发展缓慢,致使国际结算等业务的流失,使一些新的利润增长点后劲不足。据统计,仅在我国的外资银行办理的风险小、成本低、利润高的国际结算等中间业务目前已占有我国市场份额的40%以上。
4.面临技术手段和金融产品的挑战。国外一些大银行由于技术设备先进、科技化程度高、信息网络健全(银行业务全球联网)、创新能力强,使他们在金融业务和产品方面显现出了全球化、自动化、电子化、标准化的趋势,并且在技术手段创新和衍生金融产品等方面始终处于领先地位。由于金融产品的多样性,国外银行可以从各项业务、多种渠道中获得盈利,以弥补某一方面的亏损。这种竞争对我国银行业是不利的。我国银行业由于实行分业经营使业务被限制在非常狭小的存贷款领域,并且基本服务对象主要面对国有企业,造成盈利渠道单一,提供的金融产品传统,从而造成银行的金融风险更加集中,竞争力持续弱化。
5.面临融资风险的挑战。加入WTO,由于我国的金融资产形式和融资手段过于单一,将加大我国银行业的融资风险。目前我国金融资产形式主要是通过银行进行间接融资,间接融资占金融资产形式的80%以上。我国目前这种过度依靠银行的巨额储蓄存款所形成的单一金融资产结构现状,是由债券市场和股票市场等直接融资市场不发达甚至严重滞后造成的。间接融资比例过高,不仅已经难以适应WTO体制的要求,而且会增大银行的经营风险。在西方发达国家,直接融资和间接融资的比例几乎各占50%。同时,由于国外银行在很多领域享受超国民待遇。如在税费方面,我国银行的综合税费负担率高达70%左右,而国外银行只有30%。国外银行这些优势将可能造成国内优质客户的大量流失和国内融资份额大幅度下降。统计表明,我国银行80%的利润来自20%的优质客户。一旦我国的优质客户被国外银行抢走,我国银行的优质资金来源将被分流,融资份额也将被挤占。最终将导致我国银行业市场融资能力差和盈利能力下降。
6.面临人才竞争的挑战。加入WTO,国外金融机构与我国银行业竞争最激烈的将是人才。随着国外银行业务在中国市场的不断拓展,他们将会以高薪聘用、优厚福利、委以重任、出国培训、公平的用人激励机制以及优越的工作环境等条件,吸引大量我国银行业的各类优秀人才,其结果将会使我国银行业新一轮优秀业务骨干流失,进一步加剧我国银行与国际大银行之间的差距。
7.面临金融安全的挑战。目前,我国的金融监管法规不健全、金融装备落后、国产化程度低、风险防范能力差、安全监管能力不足、制约手段不强、内审制度不严格等是我国金融安全的最大隐患。仅以已进入我国的外资银行为例,外资银行只要在我国任何一个地方拥有机构,就可在全国范围内开展业务。当前外资银行普遍存在多存少贷的倾向,它们一方面将境内吸收的外币存款资金调往境外以套汇套利,另一方面外资银行通过转移利润、少缴存款准备金的方式逃避我国的税收。还有一部分外资银行则利用回扣、提成等非价格手段与国有银行进行不公平竞争。如果我国对现有的少量外资银行都缺乏监管手段,那么一旦加入WTO,资本账户对外开放,国际游资进来,给我国银行业将会带来更大的风险,甚至可能引起金融秩序混乱。同时,由于我国金融安全监管能力弱,还将可能造成被国外银行一向青睐的我国电信、通讯、媒体、铁路、保险、高新技术企业、三资企业、大型私营企业等行业和市场,在对其全力的扶持下,在一定时间内获取垄断行业的利润,以形成市场垄断和产业垄断。
8.面临不良资产的挑战。国外一些大的银行由于规模庞大,资金实力雄厚,资产质量相对优良等优势将在竞争中处于明显得力的地位。如美国花旗集团资产总额高达7000多亿美元,相当于我国四家国有独资商业银行资产的总和。美国商业银行不良资产比例目前仅为0.67%,而我国银行的不良资产却高达30%,不仅远远高于人民银行规定的17%的最高界限,同时也都大大高于人民银行规定的逾期贷款不超过8%、保滞贷款不超过5%和呆账不超过2%的比例界限。据调查,如果考虑银行账外贷款和绕规模贷款(贷款科目之外的其他资产科目中隐藏着实际属于贷款的资产,是一种逃避规模控制的违纪行为)因素,国有四大商业银行实际不良贷款的比例还要比账面高出10个以上的百分点。如果再把实际的呆账全部冲销,有的国有商业银行可能资不抵债。银行不良资产的扩大是当前我国银行业面临的主要风险,也是制约银行业健康运营和入世的重要障碍。
⑼ 网上银行出现安全问题的主要原因
网上银行出现安全问题主要基于网上银行基础架构环境所引发的技术风险。
互联网的开放和虚拟性给作为传统银行的延伸和创新的网上银行带来复杂性和多样性的风险,从信息安全角度分析,主要有三类:基于网上银行基础架构环境所引发的技术风险,主要包括:网上银行客户端安全认证风险。
网络传输风险、系统漏洞风险、数据安全风险、系统应急风险、内部控制风险、外包管理风险等。基于网上银行金融业务特征所形成的业务安全风险;
(9)银行业网络安全风险扩展阅读:
网上银行安全介绍如下:
网上银行管理体系信息安全风险。如何有效风范网上银行风险,成为银行和监管部门面临的新的挑战。加强防范意识,避免受到虚假信息的欺骗;
妥善保管好网上银行认证信息,不在公共网络或场所使用;设置好的登录和交易密码,避免使用诸如生日、电话号码等容易猜测的组合;网上银行登录密码和对外支付密码设置成不同的密码并定期更新。
⑽ 网商银行提示安全风险
网上银行,是为了方便客户所开发的网络产品,需要到银行柜台开通,网上注册后就可办理z转账,购物,缴费等业务